инженер по безопасности Google из Маунтин-Вью, присоединился к XDA, чтобы обсудить проблемы с Android Pay на рутованных устройствах.
Участник форума, который, как было подтверждено, работает инженером по безопасности в Google из Маунтин-Вью, присоединился к XDA, чтобы обсудить проблемы с Android Pay на рутованных устройствах, почему он не будет работать, и подтвердил, что Google прислушивается к вашим обратная связь. По поводу root-доступа и Android Pay он сказал это:
«Пользователи Android, которые рутируют свои устройства, являются одними из наших самых ярых поклонников, и когда эта группа говорит, мы слушаем. Некоторые из нас в Google слышали подобные темы, и мы знаем, что вы в нас разочарованы. Я инженер по безопасности и работаю с Android Pay, поэтому эта тема меня особенно сильно зацепила. Я хотел обратиться ко всем вам и сказать, что мы вас слышим.
Google абсолютно привержен сохранению открытости Android, а это значит, что мы поощряем разработки разработчиков. Хотя платформа может и должна продолжать процветать как среда, удобная для разработчиков, существует несколько приложения (не являющиеся частью платформы), в которых мы должны убедиться, что модель безопасности Android нетронутый.
Это «обеспечение» осуществляется Android Pay и даже сторонними приложениями через API SafetyNet. Как вы все понимаете, когда речь идет о платежных реквизитах и — по доверенности — реальных деньгах, люди из службы безопасности вроде меня начинают нервничать еще сильнее. Я и мои коллеги из платежной индустрии долго и внимательно изучали, как убедиться, что Android Pay работает на устройстве с хорошо документированным набором API и хорошо продуманной системой безопасности. модель.
Мы пришли к выводу, что единственный способ сделать это для Android Pay — это гарантировать, что устройство Android пройдет набор тестов на совместимость, который включает в себя проверку модели безопасности. Более ранняя служба оплаты по нажатию и оплате Google Wallet имела другую структуру и давала Wallet возможность независимо оценивать риск каждой транзакции перед авторизацией платежа. Напротив, в Android Pay мы работаем с платежными сетями и банками, чтобы токенизировать фактическую информацию о вашей карте и передавать эту информацию только продавцу. Затем продавец осуществляет эти транзакции, как традиционные покупки по карте. Я знаю, что многие из вас являются экспертами и опытными пользователями, но важно отметить, что у нас нет хорошего способа сформулировать нюансы безопасности конкретного устройства разработчика для всей платежной экосистемы или определить, могли ли вы лично принять конкретные меры противодействия атакам - на самом деле многие этого не сделали бы. иметь. " - Джейсондклинтон_google
Отвечая на возможность того, что это означает, что однажды может появиться поддержка рутированного устройства, Джейсон заявил: «Я не знаю, как в настоящее время или в ближайшем будущем можно утверждать, что конкретное приложение хранилище данных безопасно на устройстве, не совместимом с CTS. Таким образом, на данный момент ответ «нет»." и отвечая на заявление одного пользователя о том, что, если бы ему пришлось выбирать между root и Android Pay, он бы выбрал root, Джейсон выразил свое сочувствие и заявил, что ему хотелось бы получить корневую функциональность без фактического укоренение. Он также принял отзыв о размещении предупреждения в магазине приложений о том, что приложение не будет работать на устройствах с root-доступом.
К сожалению, было подтверждено, что любая неофициальная сборка не сможет пройти SafetyNet из-за того, что образ системы не ожидается. Он продолжил, заявив об этом. «Один из способов думать об этом заключается в том, что подпись можно использовать в качестве заместителя предыдущего статуса прохождения CTS. (Если бы нам пришлось сканировать каждый файл и телефонное устройство, перечисленное ядром, чтобы определить, в какой среде мы работаем, мы бы заблокировали ваше устройство на десятки минут.) Итак, мы начинаем со статуса CTS, определяемого сигнатурой производственного образа, а затем приступаем к поиску вещей, которые выглядят не так. Это сообщество уже определило немало вещей, на которые мы обращаем внимание: например, наличие буквы «су». Джейсондклинтон_google
Он продолжит следить за темами, связанными с Android Pay на XDA, однако не может обещать отвечать на все комментарии, но обязательно прислушается. Чтобы быть в курсе его комментариев в теме, проверьте здесь. Однако это шаг в правильном направлении: теперь, когда мы знаем, что они прислушиваются и принимают конструктивные отзывы, мы надеемся увидеть больше дискуссий между сотрудниками Google и участниками форума.